专利名称:一种安全性检测方法和系统的制作方法
技术领域:
本发明涉及无线通信领域,特别涉及一种安全性检测方法和系统。
背景技术:
目前在长期演进LTE(Long Term Evolution)系统中,用户面数据通常采用 counter check流程作为安全性检测流程来检测空口是否有非法数据包插入。发明人在实 现本发明的过程中发现在确认模式AM(AcknowledgedMode)下,发送方需要无线链路重传 RLC(Radio Link Control)实体的状态报告确认,但是目前RLC的状态报告周期在60至 80ms,远大于countercheck过程所需要的时间,这样就会出现counter check response已 经返回,但是发送方RLC实体还没有收到状态报告确认的情况,而此时如果接收方上报的 COUNT值是RLC实际收到的数据包的COUNT值,则会导致正常情况下的counter check流程 失败,从而进一步导致承载的异常释放或告警的错误。
发明内容
本发明实施例提供了一种安全性检测方法具体包括。 SI 10,获取演进基站eNB侧分组数据汇聚协议PDCP实体上报的计数COUNT值;
S120,将所述eNB侧的PDCP COUNT值及数据无线承载标识DRB ID发给用户设备 UE进行校验; S130,接收所述UE的校验结果,若所述校验结果为异常,则保存所述UE返回的UE 侧的PDCP COUNT值及DRB ID ; S140,校验所述UE返回的UE侧的PDCP COUNT值及DRB ID。
本发明另一实施例还提供了一种安全性检测的系统,包括
获取模块310,用于获取PDCP COUNT值; 发送模块320 ,用于将eNB侧的PDCP COUNT值及DRB ID发送给UE进行校验;
接收模块330,用于接收UE的校验结果,若所述校验结果为异常,则进一步用于保 存所述UE返回的UE侧的PDCP COUNT值及DRB ID ;校验模块340,用于校验接收到的UE返回的UE侧的PDCP COUNT值及DRB ID。
本发明实施例提供的安全性检测方法和系统可以克服不同厂商实现差异而造成 的counter check流程失败的问题,增加counter check流程的可靠性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种安全性检测方法示意 图2为本发明另一实施例提供的一种安全性检测方法示意图;
图3为本发明另一实施例提供的一种安全性检测系统的示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。 本发明实施例提供了一种安全性检测方法,如图1所示,包括 S110,获取分组数据汇聚协议PDCP (packet data convergence protocol)实体上
报COUNT值; S120,把所述PDCP COUNT值及演进基站eNB侧的数据无线承载标识DRB ID (Data Radio Bear Identification)发给用户设备UE (UserEquipment)进行校验;
S 130,接收所述UE校验结果,若所述校验结果为异常,则保存所述UE返回的UE 侧的PDCP COUNT值及DRB ID ; S140,校验接收到的UE返回的UE侧的PDCP COUNT值及DRB ID。 本发明实施例提供的安全性检测方法可以克服不同厂商实现差异而造成的
counter check流程失败的问题,增加counter check流程的可靠性。 本发明另一实施例提供了一种安全性检测方法,如图2所示,包括 S210,获取PDCP COUNT值 具体的,可以在检测到counter check的触发条件满足时,在发送countercheck 消息之前获取PDCP的COUNT值,其中counter check的触发条件可以根据不同的应用场 景包括不同的内容,例如,可以是层3定时器超时,还可以是PDCP序列号(PDCP Serial Number)超过预设的门限等。此外,获取PDCP COUNT值的方式有多种,例如可以由演进基站 eNB的层3向所有的PDCP实体发送获取COUNT值消息,PDCP实体返回发送数据包COUNT值 的消息,优选的,当层3收齐所有PDCP的COUNT值时候,认为一次PDCPCOUNT值获取流程完 成; S220,把eNB侧的DRB ID及PDCP COUNT值中的CountMSB发给UE进行校验
具体的,可以把eNB的PDCP COUNT中的低8位去掉,保留其中的高25位,即 CountMSB,及DRB ID发送给UE进行校验,其中,可以通过counter check消息将DRB ID及 DRB上下行所有的PDCP CountMSB通过counter check消息发送给UE进行校验。需要指 出的是,对于一个数据无线承载DRB来说,不区分上行和下行,也就是说一个承载对应一个 DRB ID,DRB ID获取有多种方式,与具体实现相关,例如可以由PDCP实体直接获取,也可以 由层3通过PDCP实体号查询获取,但是对于一个承载来说,PDCPCOUNT值或PDCP CountMSB 可以区分上行和下行。此外,对于上行和下行的区分,对于UE侧来说,从eNB接收是下行, 向eNB发送是上行;对于eNB侧来说,向UE发送是下行,从UE接受是上行,当然也可以根据 实际情况作其他约定。 S230,接收UE的校验结果,若所述校验结果为异常,则保存UE返回来的UE侧的 DRB ID及PDCP COUNT值;
其中,UE在接收到counter check消息后将消息中的上下行PDCPCountMSB和自己 的上下行PDCP CountMSB分别进行比较,如果发现PDCPCountMSB不一致则认为校验异常, 此外,对于接收到的eNB侧的DRB ID进行校验,如果DRB ID有误,也可以认为校验异常。具 体的,DRB ID有误包括DRB ID个数不一致,也就是说eNB侧的无线承载个数与UE侧的无 线承载个数不一致,或者DRB ID的值不正确,也就是说,UE根据eNB的DRB ID对无线承载 资源进行查找但查不到该DRB ID值所对应的相关资源,在这两种情况下均可以认为是DRB ID不一致,判定校验异常。如果UE侧校验上行或者下行CountMSB异常或者DRB ID异常, UE可以通过countercheck response消息将自身的DRB ID及自身PDCP上报的上下行完整 的COUNT值发送给eNB。在本发明的另一个实施例中,如果上行或下行之一出现了异常,则 UE可以分别只将上行的PDCP COUNT值或下行COUNT值以及DRB ID发送给eNB,当然UE可 以不做区分,只要出现了异常,就把上下行所有的COUNT值、DRB ID发送给eNB。在本发明 的另一个实施例中,如果UE侧校验没有出现异常,则仍然发送counter check response消 息,但消息中不携带PDCP COUNT值或DRB ID,即counter check response消息为空。
对于eNB侧来说,如果发现接收到的counter check response消息中携带了 COUNT值或者DRB ID,则认为校验结果为异常,将消息中携带的UE侧的COUNT值和DRB ID 保存。在本发明的另一个实施例中,如果UE返回的counter check response消息中包括上 行和下行PDCP COUNT值或者仅包括下行PDCP COUNT值,则eNB再获取一次eNB侧的PDCP COUNT值,进入S240,如果counter check response消息中仅包括上行PDCP COUNT值和/ 或DRB ID,也就意味着UE校验仅上行出现异常或DRB ID异常,此时eNB可以不用再取一次 PDCP COUNT值,进入S240。如果UE侧返回的counter check response消息为空,在本发 明的另一个实施例中,可以结束检测流程; S240,校验接收到的UE返回的UE侧的PDCP COUNT值及DRB ID具体的,对于下行 数据,如果counter check response消息之后获取的eNB自身的下行PDCP COUNT值小于 UE侧返回的UE下行PDCP COUNT值,则认为下行传输安全性出现异常;对于上行数据,如果 发送counter check消息之前获取的eNB自身的上行PDCP COUNT值大于UE侧返回的UE 上行COUNT值,则认为上行传输安全性出现异常; 此外,在本发明的另一个实施例中,若UE返回值包括了 UE侧的DRBID,则可以首先 校验DRB ID,若UE侧返回的DRB ID有误,具体的可以包括DRB ID个数不一致,也就是说 eNB侧的无线承载个数与UE侧的无线承载个数不一致,或者DRB ID的值不正确,也就是说, eNB根据UE的DRBID对相关资源进行查找但查不到该DRB ID值所对应的相关资源,在这两 种情况下可以认为则认为整个无线承载安全性出现异常,可以直接进入S250,若DRB ID校 验无误,即DRB ID的个数和值均无误,则可以进一步校验UE侧的PDCP COUNT,若UE侧的 PDCP COUNT校验出现异常,则认为安全性出现异常,进入S250 ;
S250,进行异常反馈处理 异常反馈的处理可以根据不同的需求采取不同的措施,例如释放承载或者上报告
氛 本发明实施例提供的方法可以克服不同厂商实现差异而造成的countercheck流 程失败的问题,增加counter check流程的可靠性和/或告警的准确性。
本发明另一实施例提供了一种安全性检测系统,如图3所示,包括
获取模块310,用于获取PDCP COUNT值;
其中获取模块310具体可以包括 第一模块3110,用于在发送counter check消息之前获取并保存eNB侧的PDCPCOUNT值; 第二模块3120,用于在UE侧校验结果为异常时保存UE侧返回的PDCPCOUNT值及DRB ID并再获取一次eNB侧的PDCP COUNT值; 此外,在本发明的另一实施例中,获取装置310还可以包括与S210和/或S230中描述内容相对应的其他子模块,在此不再一一赘述; 发送模块320 ,用于将eNB侧的PDCP COUNT值及DRB ID发送给UE进行校验;
其中发送模块320具体可以包括第三模块3210,用于通过counter check消息将上下行所有DRB的COUNT值发送给UE ;第四模块3220,用于将所有DRB ID通过countercheck消息发送给UE,其中DRB ID可以由层3上报上来; 接收模块330,用于接收UE的校验结果;其中,接收模块330具体可以包括与S230描述内容对应的子模块,在此不再一一赘述; 校验模块340,用于校验接收到的UE返回的UE侧的PDCP COUNT值及DRB ID ;
其中,校验模块340具体可以包括 第五模块3410,用于将counter check response消息之后获取的eNB侧下行PDCPCOUNT值与UE侧返回的下行COUNT值进行比较; 第六模块3420,用于将发送counter check消息之前获取的eNB侧上行PDCP
COUNT值与UE侧返回的上行COUNT值进行比较;第七模块3430,用于对UE返回的DRB ID个数进行校验; 第八模块3440,用于对UE返回的DRB ID的值进行校验; 在本发明的另一个实施例中安全性检测系统还可以进一步包括异常反馈处理模块350,用于当校验模块340的校验结果为异常时,进行反馈和处理,异常反馈处理模块350具体可以包括释放模块3510,用于释放承载;或者告警模块3520,用于上报告警。
本实施例提供的安全性检测系统可以不同厂商实现差异而造成的counter check流程失败的问题,增加counter check流程的可靠性。 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,所述程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory, RAM)等。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
权利要求
一种安全性检测方法,其特征在于,包括S110,获取演进基站eNB侧分组数据汇聚协议PDCP实体上报的计数COUNT值;S120,将所述eNB侧的PDCP COUNT值及数据无线承载标识DRB ID发给用户设备UE进行校验;S130,接收所述UE的校验结果,若所述校验结果为异常,则保存所述UE返回的UE侧的PDCP COUNT值及DRB ID;S140,校验所述UE返回的UE侧的PDCP COUNT值及DRB ID。
2. 如权利要求1所述的方法,其特征在于,所述步骤SI 10具体包括当检测到counter check的触发条件满足时,在发送counter check消息之前获取PDCP的COUNT值。
3. 如权利要求1所述的方法,其特征在于,所述步骤S120具体包括将所述PDCP COUNT值的高25位及eNB侧的DRB ID通过counter check消息发给UE进行校验。
4. 如权利要求1所述的方法,其特征在于,所述步骤S130包括接收UE发送的counter check response消息,若其中包括了 UE侧下行的PDCPCOUNT值,则将UE侧的DRB ID和 PDCP COUNT值保存并再取一次eNB侧的下行PDCP COUNT值。
5. 如权利要求1-4任意一项所述的方法,其特征在于,所述步骤S140包括 校验UE侧的DRB ID,若所述UE侧的DRB ID无误,则校验UE侧的PDCP ID,其中所述UE侧的DRB ID无误包括所述DRB ID的个数和值均无误。
6. 如权利要求4所述的方法,其特征在于,所述步骤140包括对于下行数据,根据步骤S130获取的eNB侧的下行PDCP COUNT值校验所述UE返回的 PDCP COUNT值,若所述根据步骤S130获取的eNB侧的下行PDCP COUNT值小于所述UE返回 的下行PDCP COUNT值;或者对于上行数据,根据步骤S110获取的eNB侧的上行PDCP COUNT值校验所述UE返回的 上行PDCP COUNT值,若所述根据步骤SI 10获取的eNB侧的上行PDCP COUNT值大于所述UE 返回的上行PDCP COUNT值;或者UE侧返回的DRB ID有误,则判定安全性出现异常。
7. 如权利要求1-4或6任意一项所述的方法,其特征在于,S140之后还包括释放承载 或者上报告警。
8. —种安全性检测系统,其特征在于,包括 获取模块310,用于获取PDCP COUNT值;发送模块320,用于将eNB侧的PDCP COUNT值及DRB ID发送给UE进行校验; 接收模块330,用于接收UE的校验结果,若所述校验结果为异常,则进一步用于保存所 述UE返回的UE侧的PDCP COUNT值及DRB ID ;校验模块340,用于校验接收到的UE返回的UE侧的PDCP COUNT值及DRB ID。
9. 如权利要求8所述的系统,其特征在于, 所述获取模块310具体包括第一模块3110,用于在发送counter check消息之前获取并保存eNB侧的PDCP COUNT值;第二模块3120,用于在UE侧校验结果为异常时保存UE侧返回的PDCPCOUNT值及DRB ID并再获取一次eNB侧的PDCP COUNT值。
10. 如权利要求8所述的系统,其特征在于,所述校验模块340具体包括第五模块3410,用于将counter check response消息之后获取的eNB侧下行PDCP COUNT值与UE侧返回的下行COUNT值进行比较;第六模块3420,用于将发送counter check消息之前获取的eNB侧上行PDCP COUNT值 与UE侧返回的上行COUNT值进行比较;第七模块3430,用于对UE返回的DRB ID个数进行校验;第八模块3440,用于对UE返回的DRB ID的值进行校验。
全文摘要
本发明实施例公开了一种安全性检测方法及系统,其中方法包括获取COUNT值;将COUNT值及DRB ID发给UE校验;接收校验结果,若异常,则保存UE侧的COUNT值及DRB ID;校验UE侧的COUNT值及DRB ID。系统包括获取模块310,用于获取COUNT值;发送模块320,用于将eNB侧的COUNT值及DRB ID发送给UE校验;接收模块330,用于接收UE的校验结果,若结果异常,则保存UE侧的COUNT值及DRB ID;校验模块340,用于校验UE侧的COUNT值及DRB ID。本发明实施例提供的安全性检测方法和系统可以克服不同厂商实现差异而造成的counter check流程失败的问题,增加counter check流程的可靠性。
文档编号H04W24/00GK101754243SQ20091023887
公开日2010年6月23日 申请日期2009年12月31日 优先权日2009年12月31日
发明者孟凡杰 申请人:华为技术有限公司